初步資料及工具搜集
1.CE6.3,UCE可以用
P.S:
>>Debug不能及OD不能附加
>>CE必須先開,否則IOProtect會偵測
2.XueTr
未有發現任何inline/ssdt hook
3.利用ollydbg 進行調試
條件:
>>必須強制關掉IOProtect
>>必須nop掉update.exe檢測
利用以下bypass即可使用OD跟CE進行調試
----------bypass IOProtect----------
Credit: alanlei
=>2004年國際版
patch update:
00402CC5 jmp 00402D24
004023FC jmp 0040251A
=>2011年無殼版
patch update:
00404A1B jmp 00404B18
Remark:RegCreateKeyExA
patch IOProtect detection:
00404346 jmp 00404535
附上教學影片:
https://www.youtube.com/watch?v=srJc5ZXYhL0
沒有留言:
張貼留言